Download: CoverHotspotter
Transkrypt
Download: CoverHotspotter
Hotspotter TEMAT MIESIĄCA Ataki na klientów sieci bezprzewodowych HOTSPOTTING Eksperci od spraw bezpieczeństwa zawsze zwracają uwagę na odpowiednie zabezpieczenie punktów dostępowych WLAN, lecz czasem zapominają, że klienci są również narażeni na ataki. Publiczne punkty dostępowe ułatwiają napastnikom przechwytywanie połączeń klientów, co demonstruje program Hotspotter. MAX MOSER S ieci bezprzewodowe stają się bezpieczniejsze z minuty na minutę, a dzieje się tak dzięki skomplikowanym mechanizmom zabezpieczeń. Mechanizmy uwierzytelniające oparte o infrastrukturę EAP (Authentication Protocol) pozwalają wierzyć, że nieproszeni goście będą trzymani z daleka. Protokół Temporal Key Integrity Protocol (TKIP) [1], wykorzystujący często modyfikowane klucze WEP, zapobiega atakom powtórzenia (ang. replay) i nieco utrudnia techniki łamania szyfrowania. Klucze stają się też coraz dłuższe. WPA oraz WPA2 [2] oraz szyfrowanie AES [3] wydają się zapewniać prawie perfekcyjne rozwiązania dla sieci korporacyjnych. Ponadto punkty dostępowe są często wyposażone w obsługę VLAN, mechanizmy detekcji włamań (Intrusion Detection) oraz zapory sieciowe. To wszystko kosztuje niemałe kwoty. Zagrożenie czai się jednak nie tylko w zakamarkach sieci korporacyjnych. W wiecznie pędzącej erze urządzeń mobilnych wiele osób pracuje w ciągłym ruchu. To jest już element realiów codziennej pracy. Dzięki zwiększającej 1. Probe Request (żądanie połączenia) 2. Probe Response (odpowiedźna żądanie połączenia) 3. Authentication Request (żądanie uwierzytelnienia) 4. Authentication Response Client (Klient) (odpowiedź na żądanie uwierzytelnienia) Access Point (Punkt Dostępu) 5. Association Request (żądanie przyłączenia) 6. Association Response (odpowiedź na żądanie przyłączenia) 7. Data Traffic (przesyłanie danych) Rysunek 1: Logowanie się w punkcie dostępowym. Atak może dosięgnąć klienta w krokach 1 i 2, zanim klient odszuka dostępne sieci. WWW.LINUX-MAGAZINE.PL NUMER 18 LIPIEC 2005 23 TEMAT MIESIĄCA Hotspotter Ramka 2: Tryb monitorujący Tryb monitorujący (Monitor Mode), nazywany również trybem RFMON, jest specjalnym trybem, w którym karty bezprzewodowe przekazują do oprogramowania sterującego wszystkie otrzymane pakiety, a nie tylko te pakiety, których karta jest adresatem. Dzięki temu można nasłuchiwać kilka nadajników jednocześnie. Ramka 3: Wielkie zagrożenie stacji roboczych Windows Rysunek 2: Narzędzia analizujące pakiety, jak Ethereal, mogą posłużyć do analizy pakietów IEEE802. Przykład przedstawia pakiet Probe Response, wykorzystywany do ataków opisywanych w tym artykule. się dostępności sieci bezprzewodowych i dobrym administratorom, użytkownicy mogą pracować w wielu publicznych miejscach: na lotniskach, w hotelach czy salach konferencyjnych. Jeśli ktoś Ramka 1: Najważniejsze pakiety zarządzające Beacons: wysyłane przez punkt dostępowy na potrzeby synchronizacji i rozgłaszania parametrów sieciowych. Probe Request: Wysyłane przez klientów wyszukujących sieci, zawierają parametry połączenia, jak SSID oraz częstotliwość. Probe Response: Odpowiedź punktu dostępowego na pakiet Probe Response, informująca o akceptacji lub odrzuceniu transakcji. Association Request: Klient ogłasza chęć przyłączenie się do określonej sieci. Association Response: Punkt dostępowy informuje o tym, czy klient zostanie zaakceptowany w sieci. Disassociation: Punkt dostępowy informuje klienta o tym, że powinien zakończyć połączenie. Authentication: Klient uwierzytelnia się na potrzeby przyłączenia do sieci. Deauthentication: Pakiet wysyłany przez punkt dostępowy jako informacja, że istniejące uwierzytelnienie zostaje unieważnione. 24 NUMER 18 LIPIEC 2005 naprawdę chce pracować, trudno go przed tym powstrzymać. Menedżerowie wielu firm często podróżujący po świecie szybko przywykli do nowo odkrytej elastyczności sieci bezprzewodowych i chcą mieć ją również u siebie w firmie. Działy IT są zmuszane do wprowadzania skomplikowanych infrastruktur bezpieczeństwa, aby sprostać wyzwaniom związanym z przesyłaniem poufnych danych drogą radiową. Ponadto usługi korporacyjnych sieci bezprzewodowych z reguły muszą być udostępniane jedynie ograniczonej grupie uwierzytelnianych użytkowników. Menedżerowie w ruchu Typowy menedżer podróżujący po kraju z laptopem wyposażonym w łącze WLAN z reguły będzie miał skonfigurowane co najmniej dwa profile sieci bezprzewodowej. Jeden z nich jest stosowany w publicznych punktach dostępowych, jak lotniska i hotele, drugi ma zastosowanie w bezpiecznych konfiguracjach korporacyjnej sieci bezprzewodowej. W Internecie można znaleźć co najmniej kilka baz danych zawierających informacje na temat dostępnych publicznych punktów dostępowych [4]. Sieć bezprzewodowa składa się z szeregu elementów, a do obsługi komunikacji służą WWW.LINUX-MAGAZINE.PL Aby maksymalnie uprościć zarządzanie i umożliwić wykorzystanie jak największej liczby hotspotów bez potrzeby modyfikacji konfiguracji większość użytkowników tworzy profile typu „Moja bezpieczna sieć” oraz „ANY”. Drugi z tych profili stanowi specjalny przypadek i pozwala przyłączyć się do dowolnej sieci niezależnie od jej nazwy. Jeśli napastnik podszywa się pod bezpieczną sieć, klient nie będzie miał możliwości nawiązania połączenia, ponieważ szyfrowanie i ustawienia uwierzytelniania nie będą się zgadzać. Jednak w wielu z opisanych wyżej konfiguracji profil „ANY” jest domyślny. Oznacza to, że przy każdym połączeniu będzie stosowany ten profil, jako że „ANY” dopasowuje wszystkie połączenia, w tym również dotyczące „Moja bezpieczna sieć”. Dobrze dobrany moment ataku wykorzystujący pakiety uwierzytelniające pozwala przechwycić połączenie klienta i podszycie się pod sesję bezpiecznej sieci. Niektóre programy klienckie zawierają funkcje zabezpieczające przed atakami tego typu. Jednym z nich jest klient Odyssey [5]. różne typy pakietów, na przykład do przesyłania danych, kontroli i zarządzania. Szczególnie interesujące są pakiety zarządzające, ponieważ to one służą do rozgłaszania usług, logowania i wylogowania się w sieci oraz zarządzania zasilaniem (zobacz Ramka „Najważniejsze pakiety zarządzające”). Bez szyfrowania Pakiety zarządzające są przesyłane w sieci bezprzewodowej bez szyfrowania. Jakby tego było mało, protokół nie zapewnia prawie żadnej kontroli integralności czy weryfikacji poprawności adresata lub nadawcy. Drugi punkt dostępowy mógłby wysłać do Hotspotter sekwencji, jak ma to miejsce w klasycznych, przewodowych sieciach komputerowych. Punkt dostępowy z reguły nie analizuje otrzymywanych pakietów sprawdzając, czy wyglądają jakby sam był ich nadawcą. Niektóre urządzenia sieci bezprzewodowych można Rysunek 3: Program Hotspotter w akcji, każda kropka symwyposażyć w specjalne mobolizuje odebrany pakiet sieciowy. duły detekcji włamań (IDS), wykrywające próby fałszowania pakietów. klienta pakiet typu Probe Response w odJednak jedynym prawdziwym sposobem powiedzi na jego pakiet Probe Request i zawalki z tym zagrożeniem byłoby wprowaprosić go do połączenia. Pakiet Probe Redzenie skutecznych sposobów weryfikacji sponse przedstawiony na Rysunku 2 składa nadawcy i adresata, na przykład w oparciu się z kilku segmentów. o projekt Wlsec [6] rozwijany na licencji Najważniejszymi z tych segmentów są: Open Source. Niestety, ten projekt jak na ■ Framecontrol (FC) określający typ parazie nie wywołał oczekiwanej reakcji ze kietu (w przypadku pakietów zarządzająstrony komercyjnych animatorów technik cych jest to „0”), podtyp (Probe Response bezprzewodowych. to wartość „5”) oraz znaczniki, które w przypadku pakietu Probe Response zawsze mają wartość 0. ■ „Adres docelowy” to adres MAC klienta. Brak uwierzytelniania ■ „Adres źródłowy” to adres MAC punkWrogi punkt dostępowy nie potrafi, oczytu dostępowego. wiście, fałszować informacji uwierzytelniających, ponieważ te akurat nie są rozgłasza■ „BSS Id” to ID stacji w sieci ad hoc. ne. Jednak parametry uwierzytelniające ■ „Parametry stałe” składają się ze stosowane w hotspotach są dobrane w taki znacznika czasu oraz informacji o sieci. sposób, aby uprościć ich użytkowanie. Za■ „Parametry oznakowane” zawierają sady rządzące hotspotami są często przeSSID, jego rozmiar oraz kanał i obsługiwaciwne do stosowanych w sieciach korporane prędkości transmisji. cyjnych. Z tego powodu w hotspotach obyNarzuca się pytanie: w jaki sposób użytdwa zabezpieczenia typowe dla sieci korpokownicy mogą stwierdzić, czy pakiety poracyjnych są wyłączone, co w rezultacie pochodzą z zaufanej sieci z którą chcą się powoduje, że ruch sieciowy nie jest uwierzyłączyć, czy z sieci kontrolowanej przez natelniany ani szyfrowany. Obydwa sposoby pastnika? W rzeczywistości użytkownicy zapewnienia bezpieczeństwa stanowią bonie mają takiej możliwości i dokładnie tuwiem zbyt dużą niewygodę dla klientów. taj znajduje się znacznych rozmiarów dziuTo powoduje, że napastnik może bez prora w bezpieczeństwie. blemu podszyć się pod zaufaną sieć. KlienPrzy bliższej analizie okazuje się, że sieć ci sieci bezprzewodowej będą zakładać, że rozgłasza następujące informacje: przyłączyli się do zaufanej sieci, choć w rze■ Logiczną nazwę sieci (SSID) czywistości łączą się z siecią napastnika. ■ Adres MAC punktu dostępowego Napastnik może wykorzystać kilka urzą■ Konfigurację punktu dostępowego dzeń sieci bezprzewodowej, aby zaaranżoRozgłoszony SSID, czyli logiczna nazwa wać sytuację pośrednika (man-in-the-midsieci, może być wykorzystana przez każdy dle), w której wrogi punkt dostępowy podpunkt dostępowy, ponieważ ta wartość jest słuchuje i analizuje pakiety, po czym przedowolnie konfigurowana i nie jest gwarankazuje je do rzeczywistego odbiorcy. towana ani nawet wymagana jej unikalTę formę ataku zaprezentowano po raz ność. pierwszy przy okazji projektu Airjack [7]. Adres MAC punktu dostępowego rówGrupa Shmoo Group, która zdobyła sławę nież może w prosty sposób być zdublowany, dzięki swojemu programowi Airsnort, szybszczególnie, gdy napastnik wykorzystuje ko zaadaptowała tę technikę, opracowując punkt dostępowy symulowany programonarzędzie Airsnarf [8], które tworzy prograwo. Zdublowany adres MAC nie ma w sieci mowy punkt dostępowy z fałszywą stroną bezprzewodowej łatwych do wykrycia kon- WWW.LINUX-MAGAZINE.PL TEMAT MIESIĄCA WWW do logowania się w sieci. Jeśli klient rozpoczął już sesję, napastnik może wykorzystać narzędzie Void11, które generuje pakiety typu Deauthentication, zmuszające klienta do zakończenia bieżącej sesji i do ponownego zainicjowania poszukiwań dostępnych sieci. Hotspotter Airsnarf nie stanowi w pełni zautomatyzowanego narzędzia do ataków, ponieważ to wymaga znajomości niektórych parametrów sieci, jak SSID. Narzędzie Hotspotter [9], napisane przez autora tego artykułu, wykorzystuje podejście podobne do zastosowanego w programie Airsnarf, lecz potrafi automatycznie reagować na poszukiwania niezabezpieczonych sieci przez klientów. Program może wykorzystywać dowolną kartę bezprzewodową, której sterownik akceptuje polecenie iwconfig mode monitor oraz iwconfig mode master. W naszych testach dobrze pracowały karty z chipsetem Prism2 oraz oparte na układach Atheros. Hotspotter przełącza kartę sieci bezprzewodowej w tryb RFMON (zobacz Ramka „Tryb monitorowania”). W tym trybie karta akceptuje wszystkie dostarczające do niej pakiety przekazując je do programu, który analizuje pakiety typu Probe Request. Pakiety te zawierają parametry sieci, jakiej poszukuje klient (zobacz ramka „Najważniejsze pakiety zarządzające”). Poszukując sieci, klient wysyła pakiety typu Probe Request zawierające parametr SSID poszukiwanej sieci. Ujmując to prościej, klient wykrzykuje: Halo, czy sieć, którą widzę to „operator_hotspota”, czy „moja bezpieczna_sieć_korporacyjna”? Jeśli punkt dostępowy należy do sieci określonych w pytaniu, zostaje przesłana odpowiedź i jest nawiązywane połączenie z zastosowaniem ustawień zdefiniowanych w odpowiednim z profili klienta. Jeśli klient straci połączenie z siecią, po prostu próbuje ponownie. W zależności od systemu operacyjnego i ustawień, klient będzie w określonych odstępach czasu podejmował próby wyszukania sieci zdefiniowanych w profilach, lub poinformuje użytkownika, że połączenie zostało przerwane i zaczeka na jego dalsze polecenia. Jeśli klient nie znajdzie sieci, której szuka, najczęściej podejmuje próbę odszukania sieci zdefiniowanej w kolejnym profilu. Dzięki temu napastnik może poznać para- NUMER 18 LIPIEC 2005 25 TEMAT MIESIĄCA Hotspotter metry wszystkich profili zdefiniowanych przez klienta. Hotspotter przechwytuje SSID poszukiwanej sieci i porównuje go z listą punktów dostępowych, które zostały zidentyfikowane jako hotspoty niewykorzystujące szyfrowania. Jeśli Hotspotter znajdzie dopasowanie, zatrzymuje tryb monitorujący karty i konfiguruje ją jako programowy punkt dostępowy podszywający się pod daną sieć (Rysunek 3.). Ujmując to prościej, Hotspotter odpowiada: Tak, to ja, Twoja sieć „operator_hotspota”, możesz się ze mną połączyć. Klient z reguły chętnie przystaje na propozycję. W ten sposób połączenie naiwnie trafia w ręce napastnika. powoduje, że program oczekuje na przełączenie się karty w tryb punktu dostępowego. Oczywiście, zadania realizowane przez wskazany skrypt powłoki mogą być zupełnie dowolne. Może to być automatyczne przypisanie adresu IP w oparciu o DHCP, sprawdzenie nazwy klienta z użyciem odwrotnego zapytania DNS, automatyczne przeskanowanie portów, podsłuchanie danych, a nawet przejęcie kontroli nad systemem z zastosowaniem dodatkowego exploita lub konia trojańskiego. Napastnik może również przedstawić klientowi sfałszowaną stronę WWW do logowania się w sieci. Po zastosowaniu opcji -r lub -e, i przekazaniu programowi Hotspotter odpowiedniego skryptu powłoki, cały opisany schemat odbywa się w sposób w pełni automatyczny. Opcja -r powoduje, że przed przejściem w tryb programowego punktu dostępowego jest wywoływany określony skrypt powłoki, opcja -e INFO [1] TKIP: http://www.cisco.com [2] WPA: http://wwww.wi-fi.org [3] AES: http://www.faqs.org/rfcs/rfc3565.html [4] Międzynarodowa baza Hotspotów: http://mobile.yahoo.com/wifi Podsumowanie Atak za jednym kliknięciem też wymknąć się poza kosztowne zabezpieczenia i dostać się do sieci tylnymi drzwiami, aby zainstalować konia trojańskiego lub wykraść dane, co daje napastnikom nowe możliwości ataku na pozornie bardzo dobrze zabezpieczone sieci korporacyjne. Gdy wyobrazić sobie liczbę laptopów z wbudowanymi urządzeniami sieci bezprzewodowej, a przede wszystkim uzmysłowić sobie liczbę osób przesyłających niezwykle ważne dane, nie wiedząc nic o sposobie działania komputerów, szybko oczywiste stanie się, że bezprzewodowa praca w pociągach, na lotniskach lub spotkaniach biznesowych stanowi poważny problem. Łatwo [5] Klient Odyssey dla Windows: http://www.funk.com/radius/wlan/lan_c_radius.asp [6] Projekt WLSec: http://wlsec.net [7] Airjack: http://sourceforge.net/projects /airjack [8] Airsnarf: http://airsnarf.shmoo.com [9] Hotspotter: http://wwww.remote-exploit.org WWW.LINUX-MAGAZINE.PL WWW.LINUX-MAGAZINE.PL